Y he aquí que en mis estudios he llegado a los famosísimos informes de seguridad, así como sus reportes. Todo un «must» para un ciberoperador.
Además se ha juntado que estaba revisando uno de esos cientos de artículos que uno pospone para leer más tarde con detenimiento.
Pues el día ha llegado. En mi nuevo temario estoy con «Detección y análisis», dejando de lado la detección (IDS), vamos a centrarnos en todo el tema de análisis y ver grandes problemas, a mi modo de ver, que además se junta con la noticia de la petición de implementación de SBOM por parte de EEUU.
Como herramientas de análisis y reporte, he estudiado a OpenIOC, Stix, Yara y Sigma.
Creo que muchos de vosotros ya conoceréis estas herramientas. Básicamente sirven para analizar las posibles técnicas o tácticas descubiertas y compartirlas en un formato determinado a través de ciertos servidores, como puede ser Stix a través de TAXII.
El problema radica en 5 puntos importantes.
- Se usa formato código, y aunque no deje de ser XML, JSON o Yaml, ya es otra materia más a aprender.
- No comparten servidores. Así que lo que se publica en uno, no se ve en los demás
- Carece de entorno gráfico, haciendo menos amigable el entorno de producción.
- No comparten formato de lenguaje
- No comparten formato de expresión.
Y aunque en general, son fáciles de aprender. Creo que es una dificultad más a los ciberoperadores y una carga de trabajo más, que hay que; o automatizar, simplificar o esquematizar aún más.
No se puede perder tanto tiempo en generar este tipo de información, clave por otro lado, y no dedicándole más tiempo al estudio de nuevas amenazas y/o posibles mitigaciones, que personalmente lo considero más importante.
Pues he aquí, que es cuando me aparece el siguiente artículo sobre los SBOM’s, que no deja de ser, crear un inventario a nivel nacional y estandarizado. Y en el cual se narran problemas muy parecidos a los que comento que pasa con las herramientas de análisis.
El artículo en cuestión (inglés):
https://www.securityweek.com/sboms-software-supply-chain-securitys-future-or-fantasy/
Tenemos demasiadas herramientas de código abierto que no comparten el mismo estándar, con todo lo que ello conlleva. Si ya la generación de informes, análisis de los posibles ataques, sumamos a la pérdida de tiempo de generación de inventario en distintos formatos. Estamos perdiendo un tiempo muy valioso que se podría dedicar al «hardening» o a la concienciación en nuestras respectivas empresas.
Es algo, que en parte, me desalienta el cómo sin pretender damos ventajas a los malos por querer mejorar nuestras técnicas.
Como dice el artículo, bien por ley o bien por el ENS, se ha de crear un estándar obligatorio y centralizado en el cual sea común a todos los actores de la ciberseguridad, de esa manera poder hacer fuerza y prestar atención a la operativa en vez de la burocracia. Aún siendo esta vital para poder realizar nuestro trabajo.
No sé si las herramientas SIEM, pueden trabajar con varias de estas herramientas simplificando así el trabajo. Pero, el leer logs, informes, deducir la correcta información de esto. No es sencillo y no lleva poco tiempo.
En fin, ya iré comentando más acerca de mi aprendizaje.
Un saludo.
Spanish 
English